Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Литература / Криптография с открытым ключом (А. Саломаа)

.pdf
Скачиваний:
124
Добавлен:
16.04.2013
Размер:
1.35 Mб
Скачать

6.3. kAK RAZDELITX SEKRET

241

ISPOLXZUETSQ TAKVE I WO MNOGIH KRIPTOGRAFI^ESKIH PROTOKOLAH. bUDEM GOWORITX, ^TO t U^ASTNIKOW Ai, GDE i = 1; : : : ; t, k-RAZDELQ@T

SEKRET c, 1 < k · t, ESLI I TOLXKO ESLI WYPOLNENY SLEDU@]IE USLOWIQ

(1){(3).

1.kAVDYJ U^ASTNIK Ai ZNAET NEKOTORU@ INFORMACI@ ai, NEIZWESTNU@ OSTALXNYM U^ASTNIKAM Aj, GDE j 6=i.

2.sEKRET c LEGKO MOVET BYTX WY^ISLEN PO L@BYM k ZNA^ENIQM ai.

3.zNANIE L@BYH k ¡ 1 ZNA^ENIJ ai, NEWAVNO KAKIH, NE POZWOLQET OPREDELITX SEKRET c.

mNOVESTWO fa1; : : : ; atg, UDOWLETWORQ@]EE USLOWIQM (2){(3), BUDEM NAZYWATX (k; t) POROGOWOJ SHEMOJ DLQ SEKRETA c. wOZMOVNYE OGRANI^E- NIQ NA c BUDUT RASSMOTRENY W PRIMERE 6.1.

pRAKTI^ESKAQ ZNA^IMOSTX POROGOWYH SHEM O^EWIDNA. nAPRIMER, c MOVET SODERVATX W SEBE INSTRUKCII DLQ WYPOLNENIQ NEKOTORYH OSOBO WAVNYH ZADANIJ. dLQ NA^ALA WYPOLNENIQ \TIH ZADANIJ NEOBHODIMO SOGLASIE PO KRAJNEJ MERE k U^ASTNIKOW. s DRUGOJ STORONY, L@BYE IZ k U^ASTNIKOW W SOSTOQNII NA^ATX WYPOLNENIE \TIH DEJSTWIJ SOWER[ENNO NEZAWISIMO OT TOGO, SOGLASNY ILI NET DRUGIE U^ASTNIKI.

mOVNO PRIWESTI MNOGO PRIMEROW IZ RAZLI^NYH OBLASTEJ MATEMATIKI, KOGDA NEKOTORYJ OB_EKT OPREDELQETSQ k FAKTAMI IZ NEKOTOROGO NABORA FAKTOW, KOGDA L@BYE DOPOLNITELXNYE FAKTY BUDUT IZBYTO^- NYMI. tAKIE PRIMERY MOGUT BYTX ISPOLXZOWANY PRI POSTROENII POROGOWYH SHEM. wOZMOVNO, ODIN IZ SAMYH PROSTYH I W TO VE WREMQ LEGKO OPISYWAEMYH PRIMEROW OSNOWYWAETSQ NA MODULXNOJ ARIFMETIKE I KITAJSKOJ TEOREME OB OSTATKAH.

pUSTX mi; i = 1; : : : ; t; CELYE ^ISLA, BOLX[IE 1, TAKIE, ^TO

(mi; mj) = 1 PRI i 6=j. pUSTX ai, i = 1; : : : ; t; TOVE CELYE, 0 · ai < mi. (nA SAMOM DELE S TAKIM VE USPEHOM ai MOGLI BY BYTX PROIZWOLX-

NYMI CELYMI.) pUSTX M OBOZNA^AET PROIZWEDENIE WSEH mi. oBOZNA^IM Mi = M=mi I PUSTX Ni BUDET OBRATNYM K Mi (mod mi), i = 1; : : : ; t. tAKIM OBRAZOM, MiNi ´ 1 (mod mi). tAK KAK (Mi; mi) = 1, TO OBRATNYJ \LEMENT SU]ESTWUET I LEGKO NAHODITSQ IZ ALGORITMA eWKLIDA.

sRAWNENIQ

x ´ ai (mod mi); i = 1; : : : ; t;

OBLADA@T OB]IM RE[ENIEM

Xt

x = aiMiNi :

i=1

242

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

bOLEE TOGO, \TO RE[ENIE EDINSTWENNO W TOM SMYSLE, ^TO L@BOE DRUGOE RE[ENIE y UDOWLETWORQET RAWENSTWU

(y; modM) = (x; modM) :

(zAMETIM, ^TO \TO DAET TAKVE I DOKAZATELXSTWO KITAJSKOJ TEOREMY OB OSTATKAH. qSNO, ^TO L@BYE DWA RE[ENIQ DOLVNY BYTX SRAWNIMY PO MODUL@ M. o^EWIDNO TAKVE, ^TO x QWLQETSQ RE[ENIEM, POSKOLXKU Mi DELITSQ NA WSE mj, GDE j 6=i.)

pUSTX TEPERX k FIKSIROWANO, 1 < k · t. oBOZNA^IM ^EREZ min(k) NAIMENX[EE IZ PROIZWEDENIJ k RAZLI^NYH MNOVITELEJ mi. tAKIM OBRAZOM, min(k) = m1 : : : mk, ESLI mi SLEDU@T W WOZRASTA@]EM PORQDKE. aNALOGI^NO OBOZNA^IM ^EREZ max(k ¡ 1) NAIBOLX[EE IZ PROIZWEDENIJ k ¡ 1 MNOVITELEJ mi. pREDPOLOVIM, ^TO WYPOLNENO

(*)min(k) ¡ max(k ¡ 1) ¸ 3 ¢ max(k ¡ 1) :

(vELATELXNO, ^TOBY mi WYBIRALISX TAK, ^TOBY ISKOMAQ RAZNOSTX BYLA BY BOLX[OJ.) pUSTX c CELOE, UDOWLETWORQ@]EE USLOWIQM

max(k ¡ 1) < c < min(k) :

oPREDELIM ^ISLA ai

ai = (c; modmi); i = 1; : : : ; t:

tEOREMA 6.1 mNOVESTWO fa1; : : : ; atg OBRAZUET (k; t) POROGOWU@ SHEMU DLQ c.

dOKAZATELXSTWO. pREDPOLOVIM WNA^ALE, ^TO IZWESTNY L@BYE k IZ ai-H. nE TERQQ OB]NOSTI, S^ITAEM, ^TO \TO a1; : : : ; ak. oBOZNA^IM

M0 = m1 : : : mk, Mi0 = M0=mi, i = 1; : : : ; k, I PUSTX Ni0 BUDET OBRAT-

NYM K Mi0 (mod mi). oPREDELQQ

Xk

y = aiMi0Ni0 ;

i=1

PO KITAJSKOJ TEOREME OB OSTATKAH POLU^AEM

y ´ c (mod M0) :

pOSKOLXKU M0 ¸ min(k) > c, POLU^AEM

c = (y; modM0) ;

6.3. kAK RAZDELITX SEKRET

243

OTKUDA WIDNO, KAK MOVNO WY^ISLITX c S POMO]X@ ^ISEL a1; : : : ; ak. pREDPOLOVIM TEPERX, ^TO IZWESTNY TOLXKO k¡1 ZNA^ENIJ ai-H. nE TE-

RQQ OB]NOSTI, S^ITAEM, ^TO \TO a1; : : : ; ak¡1. oPREDELIM y KAK I RANX[E, TOLXKO ISPOLXZUQ NA \TOT RAZ MODULI m1; : : : ; mk¡1, TOGDA POLU^AEM

y ´ c (mod m1 : : : mk¡1) :

oDNAKO ZDESX DLQ c W SILU (*) IMEETSQ MNOGO WOZMOVNOSTEJ. dEJSTWITELXNO, WSEGO IMEETSQ

(**)

·(min(k) ¡ max(k ¡ 1) ¡ 1)¸

m1 : : : mk¡1

WOZMOVNOSTEJ, ^TO QWLQETSQ GROMADNYM ^ISLOM W SLU^AE, ESLI mi WYBRANY BOLX[IMI I BLIZKIMI DRUG K DRUGU.

2

pRIMER 6.1. wYBEREM k = 3, t = 5 I

m1 = 97; m2 = 98; m3 = 99; m4 = 101; m5 = 103 :

tOGDA min(k) = 941094, max(k ¡ 1) = 10403 I (**) IZMENQETSQ MEVDU 89

I 97, W ZAWISIMOSTI OT WYBORA DWUH ZNA^ENIJ mi. nAIBOLX[EE ZNA^ENIE 97 POLU^AETSQ DLQ PROIZWEDENIQ m1m2 = 9506, A NAIMENX[EE ZNA^ENIE 89 | DLQ PROIZWEDENIQ 10403.

sEKRET c | \TO ^ISLO, UDOWLETWORQ@]EE NERAWENSTWAM

10403 < c < 941094 :

pREDPOLOVIM, ^TO NEKOE AGENTSTWO ZNAET c I RAZDALO U^ASTNIKAM Ai ZNA^ENIQ

a1 = 62; a2 = 4; a3 = 50; a4 = 50; a5 = 38 :

oTNOSITELXNO MODULQ mi MOVNO PREDPOLAGATX, ^TO ON OB]EDOSTUPEN, LIBO PREDPOLAGATX, ^TO ON IZWESTEN TOLXKO U^ASTNIKU Ai. w POSLEDNEM WARIANTE CENTRALXNOE AGENTSTWO, RASPREDELQ@]EE SEKRET c, PEREDAWAQ ^ASTI^NU@ INFORMACI@ U^ASTNIKAM Ai, DOLVNO TAKVE POZABOTITXSQ O TOM, ^TOBY mi UDOWLETWORQLI TREBUEMYM USLOWIQM.

pREDPOLOVIM TEPERX, ^TO U^ASTNIKI A2, A3, A4 VELA@T OB_EDINITX SWOI ZNANIQ, ^TOBY WYQSNITX c. wNA^ALE ONI WY^ISLQ@T

M10 = 9999; M20 = 9898; M30 = 9702; N10 = 33; N20 = 49; N30 = 17 :

244

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

tAKIM OBRAZOM,

y = 4 ¢ 9999 ¢ 33 + 50 ¢ 9898 ¢ 49 + 50 ¢ 9702 ¢ 17 = 33816668

I SOOTWETSTWENNO

c = (y; mod98 ¢ 99 ¢ 101) = (y; mod979902) = 500000 :

aNALOGI^NO ESLI A1, A4, A5 ZAHOTQT UZNATX c, TO ONI WY^ISLQ@T

M10 = 10403; M20 = 9991; M30 = 9797; N10 = 93; N20 = 63; N30 = 43 ;

y = 62 ¢ 10403 ¢ 93 + 50 ¢ 9991 ¢ 63 + 38 ¢ 9797 ¢ 43 = 107463646 ;

c = (y; mod97 ¢ 101 ¢ 103) = 500000 :

s DRUGOJ STORONY, A2 I A5 WDWOEM UZNA@T, ^TO

y = 4 ¢ 103 ¢ 59 + 38 ¢ 98 ¢ 41 = 176992 ´ 5394 ´ c (mod 10094) ;

POSLE ^EGO A2 I A5 ZNA@T TOLXKO, ^TO c ESTX ODNO IZ ^ISEL WIDA

5394 + i ¢ 10094; 1 · i · 92 ;

DAVE ESLI ONI ZNA@T WSE MODULI mi. pRAWILXNYM ZNA^ENIEM i QWLQETSQ i = 49. aNALOGI^NO ESLI A3 I A4 OB_EDINQT SWOI ZNANIQ, TO ONI NAJDUT

y = 50 ¢ 101 ¢ 50 + 50 ¢ 99 ¢ 50 = 500000 ´ 50 (mod 9999) :

|TO GOWORIT IM LI[X O TOM, ^TO c ESTX ODNO IZ ^ISEL WIDA

50 + i ¢ 9999; 2 · i · 94 :

kONE^NO, U NIH NE BYLO NIKAKOGO SPOSOBA UZNATX, ^TO ONI NA SAMOM DELE POPALI W CELX I NA[LI WERNOE ZNA^ENIE c, KOGDA WY^ISLQLI y!

2

6.4. ~ASTI^NOE RASKRYTIE SEKRETOW

bYSTRO RAZWIWA@]AQSQ OBLASTX S [IROKIM SPEKTROM PRILOVENIJ OBRAZUET WOPROSY SLEDU@]EGO TIPA. dWA ILI BOLEE U^ASTNIKOW OBLADA@T KAKIMI-TO SEKRETAMI. dLQ DOSTIVENIQ OB]EJ CELI ONI NAMERENY RAZDELITX DRUG S DRUGOM ^ASTX SWOEJ INFORMACII, NO NE SLI[KOM BOLX[U@. dLQ \TOJ CELI I SLEDUET SOZDATX PROTOKOL.

1; ESLI NEKOTOROE xi NE QWLQETSQ PROSTYM NAIMENX[EE PROSTOE SREDI ARGUMENTOW INA^E.

6.4. ˜ASTIˆNOE RASKRYTIE SEKRETOW

245

pRI RAZDELENII SEKRETOW, OBSUVDAEMOM W PARAGRAFE 6.3, U^ASTNIKI, DLQ TOGO ^TOBY POLU^ITX INFORMACI@ c, DOLVNY BYLI RASKRYTX SWOI SEKRETY POLNOSTX@. sEJ^AS VE WSE U^ASTNIKI SOTRUDNI^A@T, NO RASKRYWA@T SWOI SEKRETY TOLXKO ^ASTI^NO. (bOLEE TOGO, MY NE PREDPOLAGAEM NALI^IE CENTRALXNOGO AGENTSTWA. pRAWDA, TAKOE AGENTSTWO NE NUVNO I W PARAGRAFE 6.3 W SLU^AE, ESLI MODULI PREDA@TSQ GLASNOSTI.)

oB[AQ POSTANOWKA ZADA^I ^ASTI^NOGO RASKRYTIQ SEKRETOW MOVET BYTX SFORMULIROWANA SLEDU@]IM OBRAZOM. kAVDYJ IZ U^ASTNIKOW A1; : : : ; At; t ¸ 2, ZNAET FUNKCI@ f(x1; : : : ; xn). zDESX KAVDAQ PEREMENNAQ MENQETSQ WNUTRI NEKOTOROGO NA^ALXNOGO OTREZKA MNOVESTWA NATURALXNYH ^ISEL I SAMA FUNKCIQ PRINIMAET NATURALXNYE ZNA^ENIQ. tAKIM OBRAZOM, FUNKCIQ f MOVET BYTX ZADANA TABLICEJ. kAVDYJ IZ U^ASTNIKOW Ai ZNAET KONKRETNYE ZNA^ENIQ ai IZ OBLASTI OPREDELENIQ PEREMENNOJ xi , NO NE OBLADAET NIKAKOJ INFORMACIEJ W OTNO[ENII ZNA^ENIJ aj DLQ j 6=i. u^ASTNIKI A1; ¢ ¢ ¢ ; An VELA@T WY^ISLITX ZNA^ENIE FUNKCII f(a1; : : : ; an) , NE RASKRYWAQ NIKAKOJ DOPOLNITELXNOJ INFORMACII O SWOIH SOBSTWENNYH ZNA^ENIQH ai. dRUGIMI SLOWAMI, PROTOKOL DOLVEN BYTX POSTROEN TAK, ^TOBY POSLE EGO WYPOLNENIQ WSE U^ASTNIKI Ai ZNALI BY ZNA^ENIQ f(a1; : : : ; an), NO NIKTO IZ NIH NE RASKRYL BY NIKAKOJ DOPOLNITELXNOJ INFORMACII O ZNA^ENII ai. tUT POD DOPOLNITELXNOJ PONIMAETSQ L@BAQ INFORMACIQ, KOTORAQ NE IZWLEKAETSQ NEPOSREDSTWENNO IZ ZNA^ENIQ FUNKCII f(a1; : : : ; an). kONE^NO, WSE \TO STANOWITSQ TRIWIALXNYM, ESLI RAZRE[AETSQ ISPOLXZOWATX NEPREDWZQTOGO ARBITRA.

dLQ PRIMERA RASSMOTRIM

½

f(x1; x2; x3) =

eSLI a2 = 19 I f(a1; a2; a3) = 17, TO A2 ZNAET, ^TO ODNO IZ ^ISEL a1 I a3 RAWNO 17, A DRUGOE QWLQETSQ PROSTYM ¸ 17. eSLI a2 = 4 I f(a1; a2; a3) = 1, TO A2 NE POLU^AET NIKAKOJ INFORMACII O ^ISLAH

a1 I a3.

dLQ RE[ENIQ POSTAWLENNOJ PROBLEMY SOZDANY RAZLI^NYE PROTOKOLY. oKAZALOSX, ^TO WOPROSY BEZOPASNOSTI ZDESX TRUDNO FORMALIZUEMY W OB]EM SLU^AE, W ^ASTNOSTI PRI WOZMOVNOSTI KOLLEKTIWNOGO OBMANA, KOGDA NEKOTORYE U^ASTNIKI OBRAZU@T KOALICII S CELX@ PEREHITRITX OSTALXNYH. s DRUGOJ STORONY, \TI PROTOKOLY OTKRYWA@T SOWER[ENNO NOWYE PERSPEKTIWY DLQ KONFIDENCIALXNOGO OBMENA INFORMACIEJ. nAPRIMER, MOGUT BYTX REALIZOWANY NOWYE SHEMY DLQ TAJNOGO GOLOSOWANIQ. sKAVEM, NEKOTORYE ^LENY SOWETA MOGUT OBLADATX PRAWOM WETO. s NOWYMI PROTOKOLAMI NIKTO NE BUDET ZNATX, POLU^ENO LI OTRICATELXNOE RE[ENIE NA OSNOWE RE[ENIQ BOLX[INSTWA ILI KTO-TO ISPOLXZOWAL SWOE PRAWO WETO ILI VE PO OBEIM \TIM PRI^INAM.

246

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

rASSMOTRIM KONKRETNYJ PRIMER. u^ASTNIKI S1; S2; P1; : : : ; Pt, GDE t | NE^ETNOE, VELA@T PRINQTX ILI OTWERGNUTX KAKOE-TO RE[ENIE. wSE U^ASTNIKI MOGUT GOLOSOWATX \ZA" ILI \PROTIW". w DOPOLNENIE K \TOMU, S1 I S2 IME@T WOZMOVNOSTX ISPOLXZOWATX \SUPERGOLOSA" S-ZA I S-PROTIW. zARANEE OGOWORENO, ^TO W SLU^AE OTSUTSTWIQ SUPERGOLOSOW WOPROS RE[AETSQ MNENIEM BOLX[INSTWA. w SLU^AE ODNOGO ILI DWUH ODINAKOWYH SUPERGOLOSOW WSE OSTALXNYE OBYKNOWENNYE GOLOSA IGNORIRU- @TSQ. w SLU^AE DWUH PROTIWOPOLOVNYH SUPERGOLOSOW WOPROS RE[AETSQ BOLX[INSTWOM OBYKNOWENNYH GOLOSOW. tAKOE GOLOSOWANIE MOVNO PREDSTAWITX KAK PROISHODQ]EE W oon S S1 I S2 W KA^ESTWE SWERHDERVAW. nAPRIMER, PREDPOLOVIM, ^TO GOLOSA RASPREDELILISX W SOOTWETSTWII SO SLEDU@]EJ TABLICEJ:

S1

S2

P1

P2

P3

P4

P5

S-ZA

PROTIW

PROTIW

ZA

ZA

ZA

ZA

 

 

 

 

 

 

 

pOSLE WYPOLNENIQ PROTOKOLA WSE U^ASTNIKI ZNA@T REZULXTAT. pRI \TOM S1 NE ZNAET, ^TO POLU^ENNYJ REZULXTAT BYL BY TEM VE SAMYM, ESLI BY ON PROGOLOSOWAL PROTIW. a S2 NE ZNAET, ^TO NE SMOG BY IZMENITX REZULXTAT GOLOSOWANIQ. u^ASTNIKI Pi NE ZNA@T, ^TO IH GOLOSA NE WLIQLI NA PRINQTIE RE[ENIQ. pOSLE VE WYPOLNENIQ PROTOKOLA S GOLOSAMI

S1

S2

P1

P2

P3

P4

P5

S-ZA

S-PROTIW

ZA

ZA

PROTIW

PROTIW

PROTIW

S1 ZNAET, ^TO S2 PROGOLOSOWAL S-PROTIW I ^TO BOLX[INSTWO \RQDOWYH STRAN" Pi PROGOLOSOWALI PROTIW.

uKAZANNAQ PROBLEMA TAJNOGO GOLOSOWANIQ S SUPERGOLOSAMI MOVET BYTX NEPOSREDSTWENNO SFORMULIROWANA W TERMINAH OB]EJ ZADA^I WY^I- SLENIQ ZNA^ENIJ FUNKCIJ. |TO VE OTNOSITSQ I K SLEDU@]EJ PROBLEME, DLQ KOTOROJ MY DETALXNO OPI[EM PROTOKOL.

A(aLISA) I B(bOB) VELA@T WYQSNITX, KTO IZ NIH STAR[E, NE UZNAW PRI \TOM NI^EGO BOLX[E O WOZRASTE DRUGOGO. kAKIM OBRAZOM ONI MOGUT SOWER[ITX DIALOG, UDOWLETWORQ@]IJ \TOMU TREBOWANI@?

bOLEE TO^NO, MY HOTIM POSTROITX PROTOKOL DLQ SLEDU@]EJ BESEDY. wNA^ALE A ZNAET i I B ZNAET j, GDE i I j | CELYE, WYRAVA@]IE IH WOZRAST W GODAH. w KONCE BESEDY ONI OBA ZNA@T, WYPOLNENO LI i ¸ j, ILI VE i < j, NO A I B NE POLU^ILI NIKAKOJ DOPOLNITELXNOJ INFORMACII O j I i SOOTWETSTWENNO.

rASSMATRIWAEMU@ PROBLEMU ^ASTO FORMULIRU@T W TAKOM WIDE: DWA MILLIONERA HOTQT UZNATX, KTO IZ NIH BOGA^E, NE DAWAQ NIKAKOJ DOPOLNITELXNOJ INFORMACII O SWOEM SOSTOQNII.

bUDEM PREDPOLAGATX, ^TO RASSMATRIWAEMYE WOZRASTY MOGUT LEVATX W PREDELAH OT 1 DO 100, T. E. i I j MOGUT BYTX CELYMI OT 1 DO 100.

6.4. ˜ASTIˆNOE RASKRYTIE SEKRETOW

247

pRIWODIMYJ PROTOKOL OSNOWAN NA KRIPTOSISTEME S OTKRYTYM KL@^OM. tAKIM OBRAZOM, B ZNAET KL@^ ZA[IFROWANIQ aLISY EA, NO NE ZNAET EE KL@^A pAS[IFROWANIQ DA.

{AG 1: B WYBIRAET BOLX[OE SLU^AJNOE ^ISLO x I WY^ISLQET EA(x) = k.

{AG 2: B SOOB]AET A ^ISLO k ¡ j.

{AG 3: A WY^ISLQET ^ISLA

yu = DA(k ¡ j + u) DLQ 1 · u · 100 :

pOSLE \TOGO A WYBIRAET BOLX[OE SLU^AJNOE PROSTOE p. (pRIBLIZITELXNYJ RAZMER p NESKOLXKO MENX[E RAZMERA x. pRIBLIZITELXNYE RAZMERY p I x SOGLASU@TSQ ZARANEE.) dALEE A WY^ISLQET ^ISLA

zu = (yu; modp); 1 · u · 100 :

oNA PROWERQET, ^TO DLQ WSEH u I WSEH v 6=u

(*)jzu ¡ zvj ¸ 2 I 0 < zu < p ¡ 1 :

eSLI \TO NE TAK, A WYBIRAET DRUGOE PROSTOE ^ISLO DO TEH POR, POKA NE BUDET WYPOLNQTXSQ USLOWIE (*).

{AG 4: A SOOB]AET B POSLEDOWATELXNOSTX ^ISEL (W UKAZANNOM PORQDKE)

(**)z1; : : : ; zi; zi+1 + 1; zi+2 + 1; : : : ; z100 + 1; p :

{AG 5: B PROWERQET, SRAWNIMO ILI NET j-E ^ISLO IZ POSLEDOWATELXNOSTI S x (mod p). eSLI DA, ON ZAKL@^AET, ^TO i ¸ j. eSLI NET, ON ZAKL@^AET, ^TO i < j.

{AG 6: B SOOB]AET A REZULXTAT.

zAKL@^ENIE, SDELANNOE NA [AGE 5, BUDET WERNYM, POSKOLXKU j-E ^ISLO zj0 W (**) UDOWLETWORQET USLOWIQM

i

¸

j WLE^ET z0

= z

j

´

y

= x

(mod p) I

 

 

j

 

 

j

 

 

 

 

i < j WLE^ET z0

= z

j

+ 1

 

z

 

y

j

= x (mod p) :

 

 

j

 

 

 

j ´

 

 

uSLOWIE (*) GARANTIRUET, ^TO W POSLEDOWATELXNOSTI (**) NET POWTOROW. (dOBAWLENIE 1 NE IGRAET ZDESX ROLI, POSKOLXKU POLOVITELXNAQ RAZNOSTX L@BYH DWUH z NE MENX[E 2.) eSLI k-E ^ISLO UVE POQWLQLOSX RANX[E W (**), TO B ZNAET, ^TO i < k.

248

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

nEOBHODIMO PEREME[IWANIE ^ISEL yu PO MODUL@ p. eSLI BY A PROSTO SOOB]ILA B POSLEDOWATELXNOSTX

y1; : : : ; yi; yi+1 + 1; yi+2 + 1; : : : ; y100 + 1 ;

TO TOGDA B SMOG BY NAJTI i, PRIMENQQ EA K \TOJ POSLEDOWATELXNOSTI, POSKOLXKU B IZWESTNY WSE ^ISLA k ¡ j + u, 1 · u · 100.

eDINSTWENNAQ INFORMACIQ, KOTORAQ POSTUPAET OT B K A (SOOTWETSTWENNO OT A K B), DAETSQ NA [AGE 2 (SOOTWETSTWENNO NA [AGE 4), I \TA INFORMACIQ NI^EGO NE DAET. s DRUGOJ STORONY, ZDESX WSEGDA WOZMOVEN OBMAN, KOTORYJ O^ENX TRUDNO OBNARUVITX BEZ BESPRISTRASTNOGO ARBITRA ILI DEJSTWITELXNOGO RASKRYTIQ ZNA^ENIJ i I j. nAPRIMER, NEWOZMOVNO PROWERITX (BEZ SSYLKI NA SWIDETELXSTWO O ROVDENII I T.P.), ^TO A I B WO WREMQ WYPOLNENIQ PROTOKOLA RABOTALI SO SWOIMI SOBSTWENNYMI WOZRASTAMI. nAPRIMER, B MOG RABOTATX S j = 50 (HOTQ NA SAMOM DELE EMU, SKAVEM, 65 LET) I WYQSNITX, MOLOVE LI A PQTIDESQTI LET ILI NET. s DRUGOJ STORONY, L@BOE KOLI^ESTWO L@DEJ MOGUT UPORQDO^ITX SWOI WOZRASTA PUTEM POSLEDOWATELXNOGO ^ESTNOGO PRIMENENIQ DANNOGO PROTOKOLA.

pRIMER 6.2. pROILL@STRIRUEM PROTOKOL, ISPOLXZUQ PROSTU@ RSA SISTEMU (n = 55, e = 7, d = 23), RASSMOTRENNU@ RANEE W NA^ALE PRIMERA 4.1. rEZULXTATY WY^ISLENIJ BUDUT PRIWODITXSQ SRAZU. pREDPOLAGAETSQ, ^TO DLQ i I j WOZMOVNY TOLXKO ZNA^ENIQ 1, 2, 3, 4.

pOLOVIM WNA^ALE, ^TO i = 2 I j = 4. eSLI B WYBIRAET x = 39, TO TOGDA ZNA^ENIE k ¡ j SOOB]AEMOE A NA [AGE 2 RAWNO 15. |TO DAET

yu = DA(15 + u); 1 · u · 4 ;

I, TAKIM OBRAZOM,

y1 = 26; y2 = 18; y3 = 2; y4 = 39 :

pEREME[IWANIE PO MODUL@ p = 31 DAET

z1 = 26; z2 = 12; z3 = 2; z4 = 8 :

(|TO PROSTOE p NE SLEDUET PUTATX S DELITELEM n.) pOSLE PROWERKI USLOWIQ (*) A SOOB]AET B NA [AGE 4 NABOR

26; 18; 3; 9; 31 :

BZAME^AET, ^TO 9 6´39 = x (mod 31) I DELAET ZAKL@^ENIE, ^TO i < j. eSLI DLQ PEREME[IWANIQ ISPOLXZOWATX MODULX 23, TO TOGDA

z1 = 3; z2 = 18; z3 = 2; z4 = 16

6.5. zABYWA@]AQ PEREDAˆA

249

I, TAKIM OBRAZOM, (*) NE WYPOLNQETSQ. eSLI BY B POLU^IL NA [AGE 4 NABOR

3; 18; 3; 17; 23 ;

TO ON OPREDELIL BY (KROME TOGO, ^TO USLOWIE (*) NE BYLO WYPOLNENO), ^TO i < 3.

pOLOVIM TEPERX i = j = 2. eSLI B WYBERET x = 48, TO k ¡ j = 25 I SOOTWETSTWENNO

y1 = 31; y2 = 48; y3 = 7; y4 = 24 : eSLI p = 13, TO TOGDA B POLU^IT NA [AGE 4 NABOR

5; 9; 8; 12; 13

I POSLE WY^ISLENIQ 9 ´ 48 = x (mod 13) DELAET WYWOD, ^TO i ¸ j.

2

~ITATELX MOVET RASSMOTRETX I NEKOTORYE DRUGIE KRIPTOSISTEMY S OTKRYTYM KL@^OM W KA^ESTWE OSNOWY DLQ RASSMOTRENNOGO PROTOKOLA. lEGKO UBEDITXSQ, ^TO \TOT PROTOKOL NE MOVET BYTX WYPOLNEN W RAMKAH KLASSI^ESKOJ KRIPTOGRAFII, T. E. BEZ ISPOLXZOWANIQ ODNOSTORONNEJ FUNKCII. dEJSTWITELXNO, U^ASTNIKI DOLVNY PEREDATX DRUG DRUGU TO^- NU@ INFORMACI@ W TAKOM WIDE, ^TO ONA NE MOVET BYTX RASKRYTA IZ PEREDAWAEMYH SOOB]ENIJ.

6.5. zABYWA@]AQ PEREDA^A

sEJ^AS MY RASSMOTRIM DRUGOJ WARIANT KONFIDENCIALXNOJ PEREDA^I DANNYH. u^ASTNIK A, WLADE@]IJ NEKIM SEKRETOM, VELAET PEREDATX EGO DRUGOMU U^ASTNIKU B TAKIM OBRAZOM, ^TOBY POSLE PROTOKOLA A W DEJSTWITELXNOSTI NE ZNAL, POLU^IL LI B SEKRET ILI NET, A B \TO BYLO BY IZWESTNO. wEROQTNOSTX USPEHA TAKOJ ZABYWA@]EJ PEREDA^I DANNYH MOGLA BY RAWNQTXSQ, K PRIMERU, 50; 1%.

mODIFICIROWANNAQ WERSIQ ZABYWA@]EJ PEREDA^I DANNYH SOSTOIT W TOM, ^TO A OBLADAET NESKOLXKIMI SEKRETAMI. oN VELAET PEREDATX ODIN IZ NIH B TAKIM PUTEM, ^TOBY TOLXKO B ZNAL, KAKOJ IMENNO SEKRET BYL W DEJSTWITELXNOSTI PEREDAN.

mOVNO PRIWESTI MNOGO^ISLENNYE PRIMERY SITUACIJ, KOGDA MOVET WOZNIKNUTX NEOBHODIMOSTX W TAKIH ZABYWA@]IH PEREDA^AH. nAPRIMER, A MOG BY BYTX PRODAWCOM SEKRETOW, KOTORYJ PRIWEL SPISOK NEKOTORYH WOPROSOW I PREDLAGAET K PRODAVE OTWET NA L@BOJ IZ NIH ZA WYSOKU@

250

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

CENU, KOTORU@ MY BUDEM PREDPOLAGATX ODINAKOWOJ DLQ KAVDOGO IZ SEKRETOW. |TI SEKRETY MOGUT IMETX WAVNOE POLITI^ESKOE ZNA^ENIE, NAPRIMER, OTNOSITXSQ K MESTONAHOVDENI@ KAKOGO-NIBUDX POLITI^ESKOGO LIDERA. B VELAET KUPITX SEKRET, NO NE HO^ET RASKRYWATX, KAKOJ IMENNO. nAPRIMER, B MOVET BYTX AGENTOM SWERHDERVAWY. rASKRYTIE TOGO, ^TO SWERHDERVAWA NE OSWEDOMLENA PO NEKOTOROMU WOPROSU, MOVET OKAZATXSQ DELOM WESXMA ]EKOTLIWYM ILI DAVE OPASNYM.

sLEDUET POD^ERKNUTX, ^TO WSE OGRANI^ENIQ, WOZNIKA@]IE W ZADA^AH ^ASTI^NOGO RASKRYTIQ SEKRETOW I ZABYWA@]EJ PEREDA^E, LEGKO MOGUT BYTX OBESPE^ENY S POMO]X@ DOPOLNITELXNOGO U^ASTNIKA, A IMENNO ARBITRA. wSQ INFORMACIQ PEREDAETSQ TAKOMU ARBITRU, KOTORYJ RASPREDELQET EE SREDI U^ASTNIKOW SOGLASNO DANNYM OGRANI^ENIQM. zNA^ENIE PROTOKOLOW SOSTOIT W TOM, ^TO POMO]X ^ESTNOGO ARBITRA STANOWITSQ NENUVNOJ. w \TOM I SOSTOIT OSNOWNOJ MOMENT, PO^EMU PROTOKOLY, OSNOWANNYE NA KRIPTOGRAFII S OTKRYTYM KL@^OM, OTKRYWA@T NOWYE PERSPEKTIWY W KOMMUNIKACII. wO MNOGIH SLU^AQH BYWAET NEWOZMOVNO NAJTI KAKOGO-TO ARBITRA, KOTOROMU DOWERQLI BY WSE U^ASTNIKI. kTO MOG BY BYTX TAKIM ARBITROM MEVDU SWERHDERVAWAMI?

rASSMOTRIM WNA^ALE SLU^AJ, KOGDA A SOBIRAETSQ OSU]ESTWITX ZABYWA@]U@ PEREDA^U KAKOGO-TO SEKRETA K B. pREDPOLOVIM, ^TO SEKRETOM QWLQETSQ RAZLOVENIE NA MNOVITELI ^ISLA n, QWLQ@]EGOSQ PROIZWEDENIEM DWUH BOLX[IH PROSTYH ^ISEL. oTMETIM, ^TO POTERI OB]NOSTI W \TOM SLU^AE NA SAMOM DELE NE PROISHODIT, POSKOLXKU SEKRETOM MOVET BYTX SOOB]ENIE, ZA[IFROWANNOE W NEKOTOROJ KRIPTOSISTEME RSA. tOGDA ZNANIE RAZLOVENIQ RASKRYWAET \TOT SEKRET.

pRIWODIMYJ NIVE PROTOKOL QWLQETSQ DOWOLXNO PROSTYM I BAZIRUETSQ NA TOM FAKTE, S KOTORYM MY UVE STALKIWALISX (NAPRIMER, W PARAGRAFE 6.2), ^TO ZNANIE DWUH RAZLI^NYH KWADRATNYH KORNEJ PO MODUL@ n IZ ODNOGO ^ISLA POZWOLQET RAZLOVITX n.

{AG 1: B WYBIRAET KAKOE-TO ^ISLO x I SOOB]AET A ^ISLO (x2; modn).

{AG 2: A (ZNA@]AQ RAZLOVENIE n = pq) WY^ISLQET ^ETYRE KWADRATNYH KORNQ §x, §y IZ x2 (mod n) I SOOB]AET ODIN IZ NIH B. (zAMETIM, ^TO A ZNAET TOLXKO KWADRAT I, TAKIM OBRAZOM, ON NE IMEET WOZMOVNOSTI UZNATX, KAKOJ IZ KWADRATNYH KORNEJ ESTX x).

{AG 3: B PROWERQET, BUDET LI KWADRATNYJ KORENX, POLU^ENNYJ IM NA [AGE 2, SRAWNIM S §x (mod n). eSLI DA, TO B NE POLU^AET NOWOJ INFORMACII. w PROTIWNOM SLU^AE, B IMEET DWA RAZLI^NYH KWADRATNYH KORNQ IZ ODNOGO ^ISLA PO modn I, SLEDOWATELXNO, MOVET RAZLOVITX n. pRI \TOM U A NET SPOSOBA UZNATX, KAKOJ IZ \TIH SLU^AEW IMEET MESTO.

qSNO, ^TO WEROQTNOSTX DLQ A WYBRATX PRAWILXNOE ZNA^ENIE KWADRATNOGO KORNQ S TO^KI ZRENIQ B RAWNA 1/2.